プライバシーポリシーの正しい書き方と雛形テンプレート【最新版】
コピーライトの表記やプライバシーポリシーなどサイト公開にあたっては何かと法律に沿った記述や記載が必要になったりしますよね。
コピーライトは単純な記述であるため覚えてしまうと簡単なのですが、プライバシーポリシーはサイトの目的によってどこまで書くのか?何を書くのか?といったことが違うため非常にややこしく、難しいんです。ただプライバシーポリシーはユーザーを守るための記述でもあるため、きちんと宣言されているかどうかで個人情報について気になるユーザーからの印象も違うでしょうし、googleアドセンスなどのサービスによっては使用できる・できないにも関わってくるんです。今回はプライバシーポリシーの理解と正しい方をご理解いただきたいと思っております。また今日から使える雛形テンプレートもご用意しておりますので理解をしていただいた後はご自由にお使いください。
プライバシーポリシーって何?絶対公開しないとダメ?
個人情報保護方針とも言いますよね。
その会社が収集した個人情報に対してどのような対応をするのかという説明が書かれた文章の事を言います。ほぼすべてのサイトで「プライバシーポリシー」や「個人情報保護方針」といったコンテンツが用意されているのでわかりますよね?
私が大学生だった15年位前でしょうか。。。
個人情報保護法(実際は2003年5月施行)が発表されてから異様なほど個人情報の収集と取り扱いに厳しくなった印象があります。プライバシーポリシーとは個人情報を収集する側(企業やサイト運営者)が自主的に公開している収集や取り扱いに関する方針の事で、日本の法律に「サイト上で絶対公開しなさい!」とさだめられているわけではないんです。
とは言え多くのサイトに掲載されていますよね?
その理由は個人情報保護法第18条第1項に以下のように定められていることが大きく関わっています。
個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
法律を厳密に理解すると、収集した情報の取り扱いに対して、その情報の個人にきちんと個別に説明すればわざわざプライバシーポリシーをサイト上で公開する必要はないよってことなんですが、
そんなことって現実問題できませんよね。
そもそも個人情報の範囲は会社のPCに登録している取引関係の方の名前や電話番号、メールアドレスも対象になりますから数は膨大でしょうし、いちいちそんなことしてたら一日の仕事が説明だけで終わってしまうじゃないですか笑
だからその手間を省くために、プライバシーポリシーを誰もが見えるところに公開しているわけですね。
そういう意味ではプライバシーポリシーを公開することは「企業の義務」とほぼ同義だと思います。個人情報を全く収集することのないサイトであってもパターンは決まっていますから書いておくに越したことはないと思いますね。
ちなみに2015年に個人情報保護法が改正されまして、これまでは5,000人を超える個人情報を取り扱っている企業などに法律の適用が限られていましたが、法改正によってこのラインが撤廃されたためたった一人であっても個人情報を取り扱っているのであれば法律に則った対応が必要となるわけです。これによって企業も個人事業主であってもすべての人が対象といってもよいですよね。
個人情報の範囲って?
ちなみに個人情報ってどこまでの情報のことを言うのかわかりますか?
個人を識別できる情報の事を言いますが、
・氏名
・勤務先、学校名
・住所
・電話番号
・メールアドレス
・免許証番号
・パスポート番号
・マイナンバー
などそれ単体、もしくは複数の情報によって個人が特定できてしまうような場合は個人情報ということになりますね。
【個人情報保護法 電子政府の総合窓口】
https://elaws.e-gov.go.jp/search/elawsSearch/elaws_search/lsg0500/detail?lawId=415AC0000000057
2018年施行のGDPRについても頭に入れておきましょう
EU加盟諸国及び欧州経済領域(EEA)の一部であるアイルランド・ノルウェー・リヒテンシュタインにおいて適用されるGDPR(General Data Protection Regulation)は、IPアドレスやcookieといったデータまで個人情報としての対象とされているのが特徴です。
日本に住んでいる私たちがなぜGDPRを気にする必要があるのかというと、例えば
・日本国内に本社があってもEU圏内に子会社や支店を持っている
・EU圏内の企業と取引をしていて、商品やサービスを提供している
・EU圏内の企業等から個人データの処理について業務委託を請け負っている
など関係各国・企業との関係によっては日本企業であってもその対象となるからですね。
ただディレクターは法律家ではありませんから、記載内容や記載の仕方について専門ではないですよね。もしそうした企業のサイトディレクションを行っている場合においては、そういった点に注意する必要があるという事だけは頭に入れて置いた上でクライアントの顧問弁護士に見ていただく等の対応をしていただくと良いと思います。
こうした知識があるというだけでも「頼りがいのあるWEBディレクター」という目で見てもらえますよ!
GDPRについての解説は以下でもご確認ください
【個人情報保護委員会】
https://www.ppc.go.jp/enforcement/infoprovision/laws/GDPR/
【日本貿易振興機構JETRO】
https://www.jetro.go.jp/world/europe/eu/gdpr/
プライバシーポリシーの記載内容
プライバシーポリシーを作成・公開することが重要だということをご理解いただけたと思います。私もディレクターを教える立場として知識を深めようと軽い気持ちでプライバシーポリシーってなんぞや?って勉強しましたが、まあ思った以上に奥が深かったという印象です。
それでは次にサイトのプライバシーポリシーのページでは何を載せればよいか私の経験をもとにお話ししていきたいと思います。
個人情報保護に関する基本方針
冒頭には個人情報保護の重要性の認識・理解、法令遵守の姿勢など企業の個人情報保護に関する姿勢・方針について紹介しましょう。
例文)
株式会社●●(以下「当社」といいます)は、当社の提供するサービス・サイトの利用者(以下「ユーザー」といいます)からお預かりする個人情報の取り扱いに関し、以下の通りプライバシーポリシー(以下「本ポリシー」といいます)を公開いたします。
社員一同が本ポリシー及び関連する法令を遵守し、お客様の安心を守り、信頼に応えてまいります。また当社が提供するすべてのサービス(以下「本サービス」といいます)に適用するものとします。
取得する情報の種類と取得方法
サイトがどのような個人情報を収集しているのか、また取得に関して関係法令に遵守して取得しているのかという宣言も必要です。
あと、これは知らない方が圧倒的に多いと思うのですがGoogleアナリティクスを使っている場合は、その旨も併せて記載する必要があるんです。
【Googleアナリティクス利用規約 項目7】
お客様はプライバシー ポリシーを公開し、そのプライバシー ポリシーで Cookie の使用、モバイル デバイスの識別情報(Android の広告識別子、iOS の広告識別子など)、またはデータの収集に使われる類似の技術について必ず通知するものとします。
また、Google アナリティクスを使用していること、および Google アナリティクスでデータが収集、処理される仕組みについても開示する必要があります。こうした情報を開示するには、「ユーザーが Google パートナーのサイトやアプリを使用する際の Google によるデータ使用」のページ(www.google.com/intl/ja/policies/privacy/partners/ または Google が随時提供するその他の URL)へのリンクを⽬立つように表示します。
出典:https://marketingplatform.google.com/about/analytics/terms/jp/
知らない方多いですよね!?
ほとんどの方がサイトのパーフォーマンス解析をする際にはアナリティクスを使用されていると思いますが、「アナリティクスを使っていますよ~」とプライバシーポリシー内で記載する必要があることをほとんどの方が知らないと思います。こうしたことを踏まえて・・・
例文)
当社は個人情報の取得に際して本ポリシー及び関連する法令を遵守し、適正な方法にて取得いたします。また本サービスをご利用いただくにあたって以下情報を取得いたします。
-氏名
-ご住所
-電話番号(ご自宅の固定電話番号・携帯電話番号)
-メールアドレス
また当サイトにユーザーがアクセスする際にはGoogleアナリティクス等を使用し、以下の情報を取得しています。
-Cookie
-リファラ
-端末の種類
-ブラウザの種類
-アクセスしている地域
-性別
Googleポリシーと規約もご覧ください
https://policies.google.com/technologies/partner-sites?hl=ja
個人情報の利用目的
お客様の立場に立てば、自分の情報がどのように使われるのか?悪いように使われないか心配ですよね。当然サイト運営者側がどのように個人情報を利用するのかという明記が必要になってきます。
ここは業種に合わせて具体的な表記が必要となります。また注意するべきは記載ある利用目的以外では使用できないということです。サービスの範囲が広がった、利用目的が変更になったという場合は随時更新が必要となることを覚えておいてくださいね!
例文)
弊社ではお客様からお預かりした個人情報は「商品やサービスのご提供」「商品の配送や料金のご請求」「アフターサービス」「イベントの案内や定期刊行物の郵送」「業務上のご連絡やご案内」「お問合せに対する回答」に利用いたします。
個人情報の管理
利用目的同様、お客様がもっとも気になる項目の一つでしょう。
大手教育企業の名簿流出や通販企業の顧客情報流出など、ニュースで話題になることもある個人情報の管理について明記します。
例文)
当社では個人情報の漏えい、改ざん、紛失、および目的外の利用を防止するために関連する法令、本ポリシーに従い、個人情報を厳重に管理いたします。
また個人情報の取扱いについて、従業員に対し必要な教育を行ないます。
個人情報の共同利用
例えば関連会社や親会社、子会社などがありサービスを提供するうえで個人情報を共同で利用するといったことケースが考えられる場合はその旨の記載が必要です。
これは個人情報保護法第23条第5項3号で定められている義務ですから、忘れるわけにはいかない項目となります。
例文)
当社では取得した個人情報について関連会社である株式会社▼▼、株式会社▲▲及びそのグループ会社、また株式会社▽▽及びその子会社と共同にて利用することがあります。
1.共同して利用する個人情報の項目
-氏名
-ご住所
-電話番号(ご自宅の固定電話番号・携帯電話番号)
-メールアドレス
2.共同利用の目的
-商品やサービスのご提供
-商品の配送や料金のご請求
-アフターサービス
-イベントの案内や定期刊行物の郵送
-業務上のご連絡やご案内
-お問合せに対する回答
3.管理責任者
株式会社●● 代表取締役■■■■
個人情報の第三者への提供
原則として個人情報の第三者への提供は本人の同意がなければ、提供することができません。それってユーザーにしてみたらほぼ流出と同じですし、何のための個人情報保護法なのかわからなくなってしまいますからね笑
業務上、また法令上提供の必要がある場合も想定し、こちらも記載を忘れないようにしましょう。
例文)
当社は取得した個人情報に関して、予めユーザーの同意を得ることなく第三者に提供することはいたしません。ただし、次に定める場合には原則から外れ、ユーザー情報を第三者に提供することがあります。
・ユーザーの同意がある場合
・ユーザーが希望されるサービスを提供するうえで当社が業務を委託する業者に対して開示が必要な場合
・法令に基づき開示が必要である場合
個人情報の開示
個人を識別できる個人情報は言うまでもなく個人のものであり、サイト運営者は預かっている立場にありますから本人から開示請求や修正依頼があった際は、開示・修正に応じられる所定の手続きを用意・公表しておく必要があります。
これは個人情報保護法第27条で定められています。
例文)
ユーザーから個人情報の開示を求められたと際は、ご本人からのご開示依頼であることを確認のうえ、開示いたします。
また訂正が必要となる場合においても当社所定の手続きに基づいて速やかに対応いたします。
個人情報に関するお問合せ
会社概要等にも会社の連絡先や代表者氏名等の掲載があるかとは思いますが、個人情報の取り扱いに関する連絡としてこちらに改めて記載します。もちろん会社概要の連絡先と同一である必要はなく、窓口となる部署の連絡先等を記載してもOKです。
例文)
当社のプライバシーポリシーに関するお問合せ、ご質問、ご意見についてはお手数ですが以下の窓口にご連絡ください。
株式会社●● メール:abc@xyz.com 電話:03-●●●●-●●●●(10:00~18:00)
SSLについて
サイトから情報の取得を行う場合には、その安全性について記載してあげることで、よりお客様の安心へとつなげることができます。SSLという言葉を知っているなら、URLがhttpsになっていることを確認してくれればそれでいいじゃないか、という話は横に置いておきましょう笑
例文)
当社サイトより個人情報をご提供いただく際は、通信途上における第三者の盗聴等を防止するため、SSL (Secure Sockets Layer)による暗号化技術を用い、安全に個人情報の送信をいただくことができます。
改定
一度制定したプライバシーポリシーが将来にわたって改訂されないという保証はありませんよね。法令等の改定や時代の流れ、技術の発展などによって必要な改定を行う旨を周知します。
例文)
取得した個人情報について個人情報保護法その他の法令により、必要な改定が定められた場合には、適宜見直しと改善を行います。
コピペで使えるプライバシーポリシーテンプレート
内容にご理解いただけたディレクターの方は業務の時短のため、以下のプライバシーポリシーをご活用下さいね!
・個人情報保護に関する基本方針
株式会社●●(以下「当社」といいます)は、当社の提供するサービス・サイトの利用者(以下「ユーザー」といいます)からお預かりする個人情報の取り扱いに関し、以下の通りプライバシーポリシー(以下「本ポリシー」といいます)を公開いたします。
社員一同が本ポリシー及び関連する法令を遵守し、お客様の安心を守り、信頼に応えてまいります。また当社が提供するすべてのサービス(以下「本サービス」といいます)に適用するものとします。
・取得する情報の種類と取得方法
当社は個人情報の取得に際して本ポリシー及び関連する法令を遵守し、適正な方法にて取得いたします。また本サービスをご利用いただくにあたって以下情報を取得いたします。
-氏名
-ご住所
-電話番号(ご自宅の固定電話番号・携帯電話番号)
-メールアドレス
また当サイトにユーザーがアクセスする際にはGoogleアナリティクス等を使用し、以下の情報を取得しています。
-Cookie
-リファラ
-端末の種類
-ブラウザの種類
-アクセスしている地域
-性別
Googleポリシーと規約もご覧ください
https://policies.google.com/technologies/partner-sites?hl=ja
・個人情報の利用目的
弊社ではお客様からお預かりした個人情報は「商品やサービスのご提供」「商品の配送や料金のご請求」「アフターサービス」「イベントの案内や定期刊行物の郵送」「業務上のご連絡やご案内」「お問合せに対する回答」に利用いたします。
・個人情報の管理
当社では個人情報の漏えい、改ざん、紛失、および目的外の利用を防止するために関連する法令、本ポリシーに従い、個人情報を厳重に管理いたします。
また個人情報の取扱いについて、従業員に対し必要な教育を行ないます。
・個人情報の共同利用
当社では取得した個人情報について関連会社である株式会社▼▼、株式会社▲▲及びそのグループ会社、また株式会社▽▽及びその子会社と共同にて利用することがあります。
1.共同して利用する個人情報の項目
-氏名
-ご住所
-電話番号(ご自宅の固定電話番号・携帯電話番号)
-メールアドレス
2.共同利用の目的
-商品やサービスのご提供
-商品の配送や料金のご請求
-アフターサービス
-イベントの案内や定期刊行物の郵送
-業務上のご連絡やご案内
-お問合せに対する回答
3.管理責任者
株式会社●● 代表取締役■■■■
・個人情報の第三者への提供
当社は取得した個人情報に関して、予めユーザーの同意を得ることなく第三者に提供することはいたしません。ただし、次に定める場合には原則から外れ、ユーザー情報を第三者に提供することがあります。
・ユーザーの同意がある場合
・ユーザーが希望されるサービスを提供するうえで当社が業務を委託する業者に対して開示が必要な場合
・法令に基づき開示が必要である場合
・個人情報の開示
ユーザーから個人情報の開示を求められたと際は、ご本人からのご開示依頼であることを確認のうえ、開示いたします。
また訂正が必要となる場合においても当社所定の手続きに基づいて速やかに対応いたします。
・個人情報に関するお問合せ
当社のプライバシーポリシーに関するお問合せ、ご質問、ご意見についてはお手数ですが以下の窓口にご連絡ください。
株式会社●● メール:abc@xyz.com 電話:03-●●●●-●●●●(10:00~18:00)
・SSLについて
当社サイトより個人情報をご提供いただく際は、通信途上における第三者の盗聴等を防止するため、SSL (Secure Sockets Layer)による暗号化技術を用い、安全に個人情報の送信をいただくことができます。
・改定
取得した個人情報について個人情報保護法その他の法令により、必要な改定が定められた場合には、適宜見直しと改善を行います。
いかがでしたでしょうか。
法令に基づき公開が必要となるコンテンツであるため奥が深く、難しいなと感じた方もいらっしゃるかもしれませんね。ただ決まった形があるものですから、ある程度理解していただいたら後は決まったものをコピペしてお使いいただき、クライアントごと必要箇所を修正して使用してくださいね。またこうしたことをきちんとクライアントに教えてあげることでクライアント自身が改定があった際にご自身で対応することが可能となりますね。
こうした知識を持っておくのもサイト制作責任者であるWebディレクターの仕事です。
「プライバシーポリシーなんてなんでもいいんですよ」はご法度ですよ笑
